Rozviňte svůj Internet aneb Malé domácí WiFi (2/2)
autor: Kunčický Vít , publikováno 14.9.2007
Rozviňte svůj Internet aneb Malé domácí WiFi (2/2)

Včerejší projekt domácího WiFi internetu jsme opustili v okamžiku, kdy jsme na úrovni klasické LAN sítě (tedy stále s "dráty") pomocí routeru nastavili sdílení internetu. Popravdě řečeno - tato fáze byla nejobtížnější. Rozprostřít tuto síť do bezdrátového WiFi prostoru je totiž poměrně snadná záležitost.


Tuto hustou kapitolu nemusíte důkladně studovat - stačí si pamatovat, že v naši malé síti použijeme šifrování WPA nebo WPA2 s tzv. s předsdíleným heslem (PSK, pre-shared key).

WEP (Wired Equivalent Privacy) - vás nevytrhne

WEP je původním standardem zabezpečení bezdrátových Wi-Fi sítí (je součástí normy IEEE 802.11 z roku 1999). Je založen na tzv. "proudovém" šifrovacím algoritmu RC4 s tajným klíčem o velikosti 40 nebo 104 bitů, ten je kombinovaný s 24 bitovým inicializačním vektorem (IV) - pro ověření správnosti používá metodu kontrolních součtů CRC-32.

64 bitový WEP je kombinací 40 bitového klíče a 24 bitového inicializačního vektoru, 128 bitový WEP využívá 104 bitový klíč + 24 bitový IV. Někteří výrobci bezdrátových zařízení podporují i 256 bitový WEP.

Už v prvních létech svého využívání se prokázala zranitelnost šifrovacího algoritmu RC4, který je vzhledem k délce klíče a tzv. "kolizím inicializačních vektorů" lehce překonatelnou ochranou. Použití WEPu se dnes nedoporučuje ani pro domácnosti.

Rozviňte svůj Internet aneb Malé domácí WiFi (2/2)

Získat WEP klíč za použití speciálního software *airodump, aircrack, aireplay, airparse* je otázkou několika až desítek minut. Software neanalyzuje šifrovaný přenos, ale hledá v něm zvláštní události, tzv. kolize inicializačních vektorů. Na základě určitého objemu přenesených dat je pak možné odhalit původní klíč. Čím delší je klíč, tím delší dobu musíme komunikaci "poslouchat"

WEP2

K vytvoření druhé verze WEPu vedla snaha odstranit slabá místa verze původní – došlo k rozšíření inicializačních vektorů a zesílení 128 bitového šifrování. Tím se dekódování stalo obtížnější, slabá místa šifrovací metody RC4 však zůstala - útočníkovi jen zabere více času klíč najít. WEP2 byl použit zpravidla na zařízeních, která hardwarově nestačila na novější šifrování WPA.

WPA (Wi-Fi Protected Access) - je pro nás řešením

WPA se objevilo jako dočasná (implementuje tzv. draft 3 normy IEEE 802.11i) náhrada za slabé zabezpečení WEP. Základ je překvapivě stejný: je použit šifrovací algoritmus RC4 s 128 bitovým klíčem a 48 bitovým inicializačním vektorem (IV). I zde je možné sledovat kolize IV. Zásadní vylepšení však spočívá v dynamicky se měnícím klíči – TKIP (Temporal Key Integrity Protocol). Hacker tak v průběhu útoku získává nepoužitelné fragmenty stále se měnících dočasných komunikačních klíčů.

U WPA je také zároveň vylepšena také kontrola integrity (správnosti) dat - místo CRC-32 se zde používá bezpečnější MIC (Message-Integrity Check), konkrétně se používá algoritmus nazvaný "Michael".

WPA2 již plně implementuje pokročilejší prvky IEEE 802.11i. K TKIP a algoritmu Michael přidává nový algoritmus CCMP založený na blokové šifře AES (ta je považována za zcela bezpečnou). Od března 2006 je certifikace WPA2 povinná pro všechna nová zařízení, jež chtějí být certifikována logem Wi-Fi.

Rozviňte svůj Internet aneb Malé domácí WiFi (2/2)

Zvětšení velikosti klíče a inic.vektorů, snížení počtu zaslaných paketů s podobnými klíči + lepší ověřování integrity dělá (za předpokladu správného zacházení s klíči) ze zabezpečení WPA a zejména WPA2 těžko prolomitelnou hráz.

Jak na klíče s WPA

WPA nabízí více možností, jak síť zacházet s klíči určenými pro inicializaci komunikace:

  • první metodou je využití speciálního autentizačního serveru (RADIUS), který zasílá každému uživateli jiný klíč (podnikové řešení),
  • nebo pomocí tzv. PSK klíče (Pre-Shared Key), kdy každý uživatel používá stejný přístupový klíč (malé podnikové sítě nebo domácnosti).

V naši síti použijeme PSK klíče - tento režim se česky nazývá "režim s předsdíleným heslem". Ten je navržen pro sítě v domácnostech a malých kancelářích, které si nemohou dovolit náklady a složitost autentizačního serveru. Před vstupem do sítě musí každý uživatel zadat heslo obsahující 8 až 63 tisknutelných ASCII znaků nebo 64 šestnáctkových číslic. Heslo musí být pochopitelně uloženo na přístupových bodech WiFi sítě.

Poznámka: Existují další metody zabezpečení – EAP typy ověřování pod WPA / WPA2 Enterprise, určené pro silné zabezpečení podnikových bezdrátových sítí. 
Komentáře naleznete na konci poslední kapitoly.
231 čtenářů navrhlo autorovi prémii: 111.5Kč Prémie tohoto článku jsou již uzavřené, děkujeme za váš zájem.
Tento web používá k poskytování služeb soubory cookie.